Mýty a skutečnosti o ochraně informací Aby bezpečnost byla komplexní www.kernun.cz Marek Solařík CISA, Senior Security Consultant TNS Kernun Security Notes.

Prezentace na téma: "Mýty a skutečnosti o ochraně informací Aby bezpečnost byla komplexní www.kernun.cz Marek Solařík CISA, Senior Security Consultant TNS Kernun Security Notes."— Transkript prezentace:

1 Mýty a skutečnosti o ochraně informací Aby bezpečnost byla komplexní www.kernun.cz Marek Solařík CISA, Senior Security Consultant TNS Kernun Security Notes 2012

2 Tak tady to máte šéfe… www.kernun.cz

3 Základní otázky www.kernun.cz  Jaké zákony musím splnit?  Jaké normy a metodiky použít?  Co mě reálně hrozí?  Na co se primárně zaměřit?  Kolik do bezpečnosti investovat?  Investuji efektivně?  Jsou moje systémy dostatečně odolné?  Jak měřit výkonnost bezpečnosti?  Spravuji a řídím své IT dobře?  Co můžu dělat lépe?

4 Jaké zákony? www.kernun.cz  Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů  Zákon č. 227/2000 Sb., o elektronickém podpisu  Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů  Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti  zákon č. 499/2004 Sb., o archivnictví a spisové službě  …

5 Veřejná správa www.kernun.cz  Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů  Zákon č. 227/2000 Sb., o elektronickém podpisu  Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů  Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti  Zákon č. 499/2004 Sb., o archivnictví a spisové službě  Zákon č. 365/2000 Sb., o informačních systémech veřejné správy  Zákon č. 111/2009 Sb., o základních registrech  Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

6 Utajované informace www.kernun.cz  Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů  Zákon č. 227/2000 Sb., o elektronickém podpisu  Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů  Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti  Zákon č. 499/2004 Sb., o archivnictví a spisové službě  Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti

7 Zdravotnictví www.kernun.cz  zákon č. 372/2011 Sb., zákon o zdravotních službách  zákon č. 123/2000 Sb., o zdravotnických prostředcích  Health Insurance Portability and Accountability Act of 1996 (HIPAA)  Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů  Zákon č. 227/2000 Sb., o elektronickém podpisu  Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů  Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti  zákon č. 499/2004 Sb., o archivnictví a spisové službě

8 Finanční sektor www.kernun.cz  Zákon č. 21/1992 Sb., o bankách  Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech  Zákon č. 96/1993 Sb., o stavebním spoření  BASEL III: International framework for liquidity risk measurement, standards and monitoring  Federal Information Security Management Act of 2002 (FISMA)

9 www.kernun.cz Mýty a skutečnosti o ochraně informací, aneb na co soudruzi z NDR zapomněli.

10 Mýtus 1 www.kernun.cz Mám antivirový software, pravidelně aktualizuji, mě nemůže žádný nežádoucí kód ohrozit. Skutečnost:  Žádný antivirový program nemá úspěšnost 100 %.  Samotný antivirus nestačí.  Antivir vás neochrání před zneužitím vašeho počítače či před internetovými podvody (např. phishing).  Bezpečnost neohrožují pouze viry, i když v poslední době opět roste jejich „obliba“ (USB, mp3, …) Audit ►Trojský kůň v rezervačním systému ►jména, příjmení, domácí adresy, telefonní čísla, zaměstnavatel a všechny podstatné detaily o kreditní kartě ►Přístup prodán ruské mafii … ►Až 8.000 záznamů, hotel přiznal 13, později 115

11 Mýtus 2 www.kernun.cz Skutečnost:  Jaký firewall? Kdo ho spravuje? Jak?  Sebedražší (i sebelepší) „krabice“ problém nevyřeší.  Nutný systematický přístup. Bezpečnostní politika ►Průnik do zóny Public a DMZ ►Neoprávněný přístup k neveřejným informacím ►Ovládnutí šifrované linky mezi NBÚ a Ministerstvem vnitra SR ►Následně uvolněno 1,3 mil EUR,- na zlepšení zabezpečení ►Heslo nbusr123 Mám Firewall za x- stovek tisíc, jsem v bezpečí

12 Mýtus 3 www.kernun.cz Skutečnost:  Zpoždění záplat  Zero-day attacks Komplexní ochrana Upgradauji, patchuji, jsem v bezpečí.

13 Mýtus 4 www.kernun.cz Skutečnost:  Změna chování útočníků  Sociální inženýrství  Stále dostupnější a účinnější nástroje útočníků  roboty Školení ►Phising ►E-mail jakoby od banky ►Odkaz na kopii přihlašovací stránky banky ►Ukradení přihlašovacích údajů ►Zneužití přihlašovacích údajů – ukradení peněz Jsme malá společnost, nemáme žádná cenná data, „hackeři“ nás vynechají.

14 Mýtus 5 www.kernun.cz Skutečnost:  Cyber crime  Cyber terorismus  Cyber war  Průmyslové odvětví (od poloviny 90-tých let)  Dobře organizované skupiny s hierarchickým uspořádáním  Organizovaný zločin  Terorismus Mezinárodní spolupráce, CERT Hacking – to je hraní si študáků, kteří si jen chtějí vyzkoušet, jak jsou šikovní. Stuxnet DuQu Flame Mahdi

15 www.kernun.cz Souvislost virtuální a fyzické války ve světě Part of Israel land hand over to Palestine (21/03/2000) Part of Israel land hand over to Palestine (21/03/2000) Barak/Arafat summit interrupted (03/02/2000) Barak/Arafat summit interrupted (03/02/2000) Increased number of bomb attack in Israel Increased number of bomb attack in Israel Sharm el Sheikh summit (17/10/2000) Sharm el Sheikh summit (17/10/2000)

16 Mýtus 6 www.kernun.cz Skutečnost:  Stále přetrvává:  Nevhodný návrh (TCP/IP, …)  Implementace v reálném prostředí (MD5, …)  Chyby (v kódu, konfiguraci, správě) (…)  Vzrůstající výkon (DES, 3DES, WEP, …)  Uživatel  Nekončící proces PDCA cyklus Bezpečnost informací jako integrální součást všech procesů V uplynulých letech jsme se na bezpečnost IT zaměřili, do IT jsme investovali velké prostředky, jsme na dlouhou dobu zajištěni.

17 Mýtus 7 www.kernun.cz Skutečnost:  Nerozhodnost investovat do vlastní bezpečnosti Technická opatření Organizační opatření Školení Outsourcing Bezpečnost je drahá a složitá věc, nemůžu platit odborníka na plný úvazek, který by se staral jen o bezpečnost IT.

18 Přístup Trusted Network Solutions www.kernun.cz  Plan Analýza a návrh – Analýza rizik – BIA – Bezpečnostní politika – Bezpečnostní dokumentace – DRP, BCP, …  Do Implementační studie Implementace Odborná konzultace Školení Certifikace 27001 Atestace 365/2000 NBÚ 412/2005  Check Audit bezpečnosti Penetrační testy Monitoring  Act Návrh protiopatření Zavedení do praxe

19 Přístup Trusted Network Solutions www.kernun.cz  Řešení požadavků a problémů zákazníka  Hledání optimálních řešení  Snaha pomoci  Otevřený partnerský přístup  Využívání jen reálných a ověřených zkušeností

20 www.kernun.cz Vykročte bezpečně Děkuji za pozornost Marek Solařík